ChatGPT 利用自定义 GPT 和 SSRF 漏洞遭到攻击

OpenAI 的大型语言模型 ChatGPT 修复了本周早些时候由一位研究人员在自定义 GPT 的“动作”功能中发现的安全漏洞。这位研究人员声称，攻击者可能利用服务器端请求伪造 (SSRF) 漏洞来暴露 AI 模型云端的内部dent。.

作为一名开源安全工程师和漏洞猎手，SirLeeroyJenkins 在创建他的第一个自定义 GPT 时，“感知”到存在 SSRF 漏洞。Actions 功能允许用户使用 OpenAPI 模式 defi外部 API，以便 AI 调用这些 API 来执行特定任务，例如获取天气数据。.

SirLeeroyJenkins在测试自己的API时发现，系统会从用户提供的URL返回数据。他对此感到担忧，并进行了更多测试，怀疑可能存在SSRF攻击问题。.

“当我意识到这个功能可以从用户提供的任何URL返回数据时，我的黑客本能就被激发了，”他说。“我必须检查是否存在SSRF攻击。”

SSRF漏洞可能使自定义GPT变得不安全 

正如 解释的 ，服务器端请求伪造 (Server-Side Request Forgery) 是一种 Web 漏洞，它会诱使应用程序向非预期目标发出请求。如果应用程序没有正确验证用户提供的 URL，攻击者就可以利用服务器的访问权限访问内部网络或云元数据服务。

SSRF 攻击在 2021 年非常普遍，甚至登上了 OWASP Top 10 榜单，如今其潜在危害已经扩大，因为云环境中不安全的默认配置可能会暴露关键系统。.

Jenkins解释说，SSRF攻击主要有两种类型：全读攻击和盲读攻击。全读攻击会将目标服务的数据直接返回给攻击者。而盲读攻击虽然不会泄露响应内容，但仍然允许攻击者与内部服务进行交互，例如通过基于时间的端口扫描。.

他通过将 API URL 指向 Azure 实例元数据服务 (IMDS) 来测试该漏洞，该服务存储敏感的云凭据dent访问此服务通常需要 Metadata: True 标头，因此当他最初尝试无法按要求提供该标头时，他感到非常担忧。

自定义 GPT 功能最初阻止了该漏洞利用，因为它强制使用 HTTPS URL，而 Azure IMDS 运行在 HTTP 上。服务器使用从外部 HTTPS 终结点到内部元数据 URL 的 302 重定向，并跟随了重定向。但是，Azure 会阻止缺少必要标头的访问。.

“由于服务器遵循了 302 重定向，它返回了其内部元数据 URL 的响应。任务完成了，对吧？错。来自其元数据服务的响应表明，缺少一个必需的标头，”SirLeeroyJenkins 指出。.

在继续探究响应之后，该功能允许使用可任意命名的自定义 API 密钥。他尝试将密钥命名为 Metadata， 并将其值 true，其中注入了必要的标头，以授予 GPT 对元数据服务的访问权限。

Jenkins 迅速向 OpenAI 的 Bugcrowd 计划报告了该漏洞，该问题被评为高危级别，随后得到了修复。.

他还提到，Open Security 之前曾利用这种 SSRF 攻击链，攻击一家大型全球金融公司用于安全审计的易受攻击的发票生成功能。.

OpenAI 在 5.0 版本风波后发布了 GPT-5.1

在其他与 ChatGPT 相关的新闻中， OpenAI 宣布推出 GPT-5.1，并宣称在 5.0 版本的基础上进行了多项更新，以改进指令遵循和自适应推理能力。 

“GPT-5.1 发布了！这是一次不错的升级。我尤其喜欢它在指令遵循和自适应思维方面的改进。智能和风格的提升也很棒，” 写道 首席执行官 Sam Altman 周三晚些时候在 X 上

科技作家梅胡尔·古普塔 (Mehul Gupta) 将 GPT-5.1 与其前代产品进行了对比测试，他指出， GPT-5虽然功能完善且实用，但有时会将简单的任务复杂化。据称，GPT-5.1 的即时版本拥有更强的理解能力和更微妙的自适应停顿，能够提供更具“上下文感知”的响应。

在一项测试中，古普塔要求两个模型用六个字作答。GPT-5 试图过度解释，而 GPT-5.1 则给出了简洁而正确的答案。. 

Altman 还宣布新增了 7 种预设模式，包括默认、友好、高效、专业、坦率或古怪，但用户可以选择“自行调整”。